Protection des données

Zorrooo collecte uniquement les données personnelles nécessaires à la fourniture de son service. Ces données sont obtenues principalement directement auprès de la personne concernée ou de façon automatique lors de l'utilisation de la plateforme. Les principales catégories de données sont :

Données d'identité et de contact (utilisateurs) : nom, prénom, sexe, date de naissance, adresse email, numéro de téléphone, etc., recueillis lors de l'inscription ou de la création de dossier. Ces informations permettent d'identifier les utilisateurs, d'assurer la gestion des comptes et la communication (notifications, confirmations, mises à jour sur l'état des réclamations).

Contenu des réclamations et interactions : tous les détails fournis par l'utilisateur concernant la question ou le litige (description du produit/service, circonstances, pièces justificatives éventuelles). Cela comprend également les échanges de messages directs (chats privés, courriels) entre utilisateurs, et entre utilisateurs et l'agent IA ou les tiers (entreprises, associations, avocats). Par défaut, ces communications privées sont stockées sur un serveur sécurisé, chiffré (SSL/TLS), et accessibles uniquement au personnel autorisé. Leur contenu peut être utilisé pour entraîner l'agent IA ou améliorer le service uniquement si l'utilisateur a donné son consentement explicite, et dans ce cas les données sont strictement pseudonymisées pour préserver la confidentialité.

Données liées à l'agent IA : les dialogues (questions posées et réponses fournies) avec l'agent conversationnel sont enregistrés pour améliorer les algorithmes et la précision des réponses. Ces enregistrements sont conservés sous forme anonymisée ou pseudonymisée dans la mesure du possible, et pour une durée limitée (max. 2 ans) réévaluée en fonction de l'intérêt légitime et de la nécessité de l'entraînement du modèle. Au-delà de cette durée, les données sont supprimées définitivement conformément au principe de limitation de la conservation[6][7].

Données des entreprises et intervenants externes : pour chaque réclamation, Zorrooo collecte les informations sur l'entreprise concernée (raison sociale, coordonnées de contact) et, le cas échéant, sur les intervenants externes impliqués (avocats, représentants d'associations de consommateurs, agents administratifs). Les données collectées pour ces tiers incluent leur nom, prénom, email professionnel, et toute qualification professionnelle utile (ex. : « avocat », « conseiller en consommation »). Ces informations sont nécessaires pour adresser correctement les notifications et faciliter la mise en relation ou l'intervention lors d'un litige.

Données techniques et de navigation : Zorrooo collecte automatiquement certaines données techniques lors de l'utilisation de la plateforme : adresse IP, type de navigateur, système d'exploitation, pages visitées, temps de connexion, actions effectuées. Ces données permettent d'assurer la sécurité du service (détection d'attaques, fraudes) et d'améliorer l'expérience utilisateur (optimisation du site, statistiques d'usage). Elles sont traitées de façon agrégée ou pseudonymisée quand cela est possible.

Toutes ces données sont collectées via des canaux sécurisés (formulaires web, échanges de courriels chiffrés, etc.). Les formulaires d'inscription et de réclamation recueillent explicitement les informations susmentionnées. Les communications par email et chat avec l'assistance ou l'agent IA peuvent également être conservées dans le dossier utilisateur pour assurer le suivi du litige. En aucun cas Zorrooo ne recourt à la collecte de données sensibles (origine raciale, opinions politiques, santé, etc.) sans un fondement légal très spécifique et sans consentement supplémentaire.

Les données personnelles recueillies par Zorrooo sont utilisées uniquement pour les finalités essentielles à la médiation et à la gestion des réclamations sur la plateforme. Plus précisément, elles servent à :

Médiation des litiges (exécution du contrat) : traiter et suivre la réclamation entre le consommateur (utilisateur) et l'entreprise concernée. Cela inclut l'analyse de la question posée, la rédaction de courriers ou d'arguments au nom de l'utilisateur, et la coordination de la résolution (suivi des réponses de l'entreprise, relances, clôture du litige).

Conseil automatisé par l'agent IA : répondre rapidement aux questions juridiques ou pratiques posées par les utilisateurs, les orienter vers les démarches appropriées et les assister dans la rédaction préliminaire de leur réclamation. L'agent IA sert d'assistant virtuel d'information, en fournissant des réponses adaptées aux données du dossier. Les décisions automatiques de l'IA n'ont aucun effet contraignant sans validation humaine, et l'utilisateur peut demander une intervention humaine à tout moment (conformément à l'article 22 du RGPD)[8].

Communication et notification : informer les utilisateurs du statut de leurs réclamations (par courriel, notifications in-app) et répondre à leurs demandes d'informations (suivi, questions complémentaires). Cette utilisation des données personnelles est nécessaire pour tenir l'utilisateur informé de l'avancement de son dossier (article 6.1.b RGPD).

Mise en relation avec des tiers qualifiés : faciliter, avec le consentement de l'utilisateur, les contacts avec des avocats spécialisés, des associations de consommateurs, ou des autorités compétentes, lorsque cela s'avère utile à la résolution du litige. Par exemple, l'agent IA peut suggérer la prise de contact avec un avocat partenaire si le cas le nécessite. Tous ces échanges sont encadrés contractuellement et soumis au respect strict de la confidentialité des données partagées.

Amélioration du service et développement : utiliser des données agrégées ou anonymisées (historiques de litiges, statistiques de satisfaction, logs anonymisés) pour analyser la performance du service, détecter les problèmes récurrents et faire évoluer l'outil. Par exemple, les requêtes fréquentes peuvent orienter l'ajout de nouvelles fonctionnalités. Ces traitements sont basés sur des intérêts légitimes clairement documentés et sur le strict respect de l'anonymat des utilisateurs (art. 5 du RGPD).

Recherche et conformité réglementaire : sous réserve d'anonymisation, les données peuvent être exploitées à des fins de recherche interne (amélioration des algorithmes) ou pour répondre aux exigences légales et réglementaires (archivage de preuves, statistiques obligatoires). En tous les cas, tout usage secondaire est compatible avec le cadre de médiation et strictement encadré pour éviter toute finalité détournée[9].

Important : Zorrooo ne partage pas les données personnelles pour des finalités marketing ou publicitaires sans consentement préalable. Les seules divulgations à des médias ou au public se font avec le consentement explicite de l'utilisateur et ne constituent en aucun cas une finalité principale du service. Dans tous les cas, la plateforme respecte le principe de limitation des finalités du RGPD : les données sont traitées uniquement dans l'intérêt de la résolution du litige ou pour des objectifs légitimes clairement liés à ce service[9].

Les données des utilisateurs ne sont jamais cédées à des tiers sans un fondement légal clair. Elles peuvent être partagées avec les catégories de destinataires suivantes, dans le cadre défini ci-dessus :

Avocats partenaires : Zorrooo collabore avec un réseau d'avocats spécialisés. Les données nécessaires à la prise de contact (nom du client, détail de la réclamation, etc.) peuvent être transmises à ces avocats lorsque l'utilisateur demande une assistance juridique. Des contrats de sous-traitance (article 28 RGPD) ou d'externalisation encadrent ces relations, garantissant la confidentialité et la sécurisation des données.

Associations de consommateurs : de même, les données peuvent être partagées avec des associations de défense des consommateurs pour offrir un soutien supplémentaire. Toute transmission est soumise au consentement de l'utilisateur et aux mêmes exigences de protection contractuelle que ci-dessus.

Autorités compétentes : lorsqu'un litige n'est pas résolu et que la loi l'exige (par exemple, obligation de signaler certaines fraudes), Zorrooo peut communiquer la réclamation aux autorités administratives ou judiciaires compétentes. Cette transmission ne se fait qu'avec le consentement explicite de l'utilisateur (sauf disposition légale impérative) et dans le strict respect des besoins de l'enquête. Aucune transmission automatique aux autorités n'a lieu sans contrôle humain et base légale spécifique.

Médias : en cas d'échec de la médiation, et uniquement avec accord exprès de l'utilisateur, certaines réclamations anonymisées peuvent être relayées auprès de médias (presse, sites spécialisés) pour exercer une pression publique positive sur l'entreprise mise en cause. Ce procédé, utilisé de manière exceptionnelle, ne se substitue pas aux procédures légales de résolution de litiges. Le consentement de l'utilisateur est librement révocable à tout moment.

En outre, Zorrooo fait appel à des sous-traitants techniques (hébergement, maintenance, services cloud) pour lesquels des contrats conformes à l'article 28 du RGPD sont signés. Par exemple, les serveurs sont hébergés en France chez OVH (certifié HDS) pour garantir la souveraineté et la sécurité des données. Les transferts de données en dehors de l'Union européenne n'interviennent pas dans les conditions normales de service ; si jamais ils devaient avoir lieu (par exemple, sous-traitant établi hors UE), ils se feraient uniquement vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne ou moyennant des garanties appropriées telles que les clauses contractuelles types[10][11]. Conformément à l'article 13 du RGPD, Zorrooo informe chaque utilisateur de l'identité du ou des destinataires des données ainsi que, le cas échéant, de l'existence de ces transferts sécurisés[12].

Zorrooo met en œuvre d'importantes mesures techniques et organisationnelles pour protéger les données personnelles (article 32 RGPD). Par exemple :

Chiffrement et pseudonymisation : toutes les données sensibles (identifiants, pièces jointes de réclamations, transactions financières) sont chiffrées au repos et en transit (protocoles SSL/TLS, bases de données cryptées). Les contenus des réclamations ou dialogues IA sont pseudonymisés dans les traitements internes afin de limiter toute exposition directe d'identités[3].

Contrôle des accès : l'accès aux données est strictement réservé aux employés habilités ayant un besoin opérationnel. Des politiques de contrôle par profils (rôles) garantissent que seul le personnel autorisé peut lire ou modifier chaque type de donnée. Par exemple, un support technique n'a pas accès aux contenus des réclamations privées, sauf nécessité explicite.

Sécurité physique et infrastructure : les centres de données sont protégés par des mesures physiques (sécurité 24/7, vidéosurveillance, accès biométrique) et logiques (pare-feu, détection d'intrusion, anti-DDoS). Zorrooo surveille en permanence son réseau et réalise des tests d'intrusion réguliers pour détecter toute vulnérabilité. Les journaux (logs) sont archivés de manière sécurisée et analysés pour prévenir les incidents.

Sauvegardes et résilience : les données sont sauvegardées régulièrement sur des sites secondaires sécurisés pour éviter toute perte accidentelle. Zorrooo dispose de plans de reprise d'activité (PRA) pour restaurer les services en cas de sinistre.

Durées de conservation : Conformément au principe de limitation de la conservation du RGPD, Zorrooo conserve les données personnelles seulement pendant la durée nécessaire aux finalités du traitement[6]. Les règles générales de conservation sont les suivantes :

Réclamations et litiges : les données liées à un litige sont conservées durant toute la durée du traitement (jusqu'à résolution) puis au maximum 3 ans après clôture, sauf obligation légale contraire (par exemple, exigences fiscales ou comptables, ou prescription applicable). Cette durée est calibrée sur la durée normale de prescription civile et les besoins de preuve, tout en respectant le principe RGPD de minimisation[6][7].

Entraînement de l'agent IA : les données anonymisées utilisées pour améliorer les algorithmes sont conservées pour une durée maximale de 2 ans. Au-delà, elles sont effacées définitivement sauf justification impérieuse d'intérêt légitime, réexaminée régulièrement. Les échanges privés nés de l'assistance (DM) ne sont utilisés dans les modèles d'IA qu'après anonymisation, et uniquement avec le consentement de l'utilisateur.

Données techniques et de connexion : les journaux d'accès (logs de sécurité, traces de navigation) sont conservés sur des périodes courtes (quelques mois) afin de mener des enquêtes post-incidents. Les adresses IP peuvent être retenues jusqu'à 24 heures pour traiter d'éventuelles attaques, puis effacées.

Données financières et contractuelles : les informations relatives au paiement (transactions Stripe, factures) sont conservées selon les obligations légales propres (par exemple 10 ans pour la comptabilité de l'entreprise). Cependant, ces données à caractère personnel restent chiffrées et ne sont pas utilisées à d'autres fins.

À l'issue des durées indiquées, les données sont supprimées de manière sécurisée (procédure de purge, écrasement ou destruction définitive des supports) pour garantir qu'elles ne puissent plus être reconstituées. Conformément à l'article 5 du RGPD, Zorrooo n'archive jamais indéfiniment les données personnelles[7]. Seules les données strictement nécessaires au respect des obligations légales (par ex. fiscales, archives d'entreprise) peuvent faire l'objet d'une conservation prolongée, dans ce cas elles sont archivées dans des conditions spécifiques (chiffrement renforcé, accès restreint aux seuls archivistes habilités).

Les utilisateurs de Zorrooo disposent de tous les droits prévus par le RGPD :

Droit d'accès : toute personne peut obtenir la confirmation que ses données sont traitées et en demander une copie.

Droit de rectification : l'utilisateur peut corriger ou compléter ses données personnelles inexactes ou incomplètes.

Droit à l'effacement (droit à l'oubli) : l'utilisateur peut demander la suppression de ses données lorsque le traitement n'est plus nécessaire ou n'a pas de fondement légal.

Droit à la limitation : l'utilisateur peut demander de bloquer temporairement le traitement de ses données (si par exemple leur exactitude est contestée).

Droit d'opposition : pour des raisons liées à sa situation particulière, l'utilisateur peut s'opposer au traitement de ses données s'il est fondé sur l'intérêt légitime de Zorrooo (article 6.1.f). Dans ce cas, Zorrooo suspendra le traitement sauf motif légitime impérieux.

Droit à la portabilité : l'utilisateur peut obtenir ses données personnelles dans un format structuré couramment utilisé et demander leur transfert à un autre responsable de traitement.

Droit de retrait du consentement : lorsque le traitement a été fondé sur le consentement (article 6.1.a), l'utilisateur peut retirer ce consentement à tout moment, sans affecter la licéité des traitements antérieurs.

Droit de réclamation : si l'utilisateur estime que ses droits ne sont pas respectés, il peut saisir la CNIL (ou l'autorité locale compétente).

Zorrooo met en œuvre une procédure simple pour exercer ces droits. L'utilisateur peut généralement les exercer directement depuis son compte personnel sur la plateforme, ou par simple demande écrite (courriel) au Délégué à la Protection des Données (DPO). Les coordonnées du DPO (ou du service dédié) sont clairement indiquées sur le site (art. 13 du RGPD)[13]. Zorrooo s'engage à répondre à toute demande dans un délai d'un mois maximum à compter de la réception de la demande, conformément à l'article 12 du RGPD[14]. Ce délai peut être exceptionnellement prolongé de deux mois supplémentaires si le volume ou la complexité des demandes le justifie, avec information préalable du demandeur. Aucune redevance n'est exigée pour l'exercice de ces droits, sauf demandes excessives manifestement infondées (article 12.5 RGPD).

En cas de violation de données (perte accidentelle, accès non autorisé, attaque informatique, etc.), Zorrooo agit dans le strict respect des obligations légales :

Notification à l'autorité : conformément à l'article 33 du RGPD, Zorrooo notifie dans les meilleurs délais toute violation susceptible d'engendrer un risque pour les droits et libertés des personnes à l'autorité de contrôle compétente (en France, la CNIL). Cette notification est faite au plus tard 72 heures après détection de la violation, sauf justification du retard[15].

Information des personnes concernées : si la violation présente un risque élevé pour la personne (ex. fuite de données sensibles), Zorrooo informe également les utilisateurs concernés dans les meilleurs délais, en leur décrivant la nature de l'incident et les mesures prises (article 34 RGPD)[16]. Si les données étaient cryptées ou rendues illisibles pour un tiers non autorisé (par exemple par chiffrement fort), cette communication peut être écartée selon l'article 34[17].

Documentation et mesures correctives : toute violation est documentée en interne (nature de l'incident, conséquences, actions correctives) pour vérification éventuelle par la CNIL. Les mesures prises incluent l'isolement immédiat de la faille, la purge des accès malveillants et le renforcement des systèmes affectés. Les utilisateurs impactés reçoivent un soutien adapté (conseils, suivi personnalisé) jusqu'à résolution complète de l'incident.

Zorrooo réalise aussi régulièrement des audits internes et externes de sécurité, ainsi que des analyses d'impact (Privacy Impact Assessment) lorsqu'un nouveau traitement présente un risque élevé (par exemple, utilisation étendue de l'IA ou profilage automatique). Ces démarches garantissent en continu l'efficacité des mesures de protection.

La plateforme se conforme entièrement aux normes françaises et européennes en matière de protection des données. Les points suivants soulignent cet engagement :

Responsabilité et gouvernance : Zorrooo tient un registre des activités de traitement (article 30 RGPD) documentant le but de chaque traitement, les catégories de données et de personnes concernées, les destinataires et les durées de conservation. Le DPO (M./Mme X, [email protected]) veille à la conformité et peut être contacté pour toute question liée à la vie privée.

Accords contractuels : tous les tiers (sous-traitants techniques, partenaires juridiques, hébergeurs) sont liés par des contrats conformes au RGPD. Ces contrats précisent les obligations de confidentialité, les mesures de sécurité à respecter et la responsabilité de chaque partie (article 28 RGPD).

Formation et sensibilisation : le personnel de Zorrooo reçoit une formation régulière sur la protection des données, les bonnes pratiques de cybersécurité et les procédures internes. Des consignes claires existent pour la manipulation des données et la réponse aux incidents.

Sécurité par défaut et par conception : dès la conception de nouvelles fonctionnalités ou processus (notamment pour l'agent IA), Zorrooo applique les principes de « Privacy by Design » et « Privacy by Default » (article 25 RGPD). Par exemple, toute nouvelle collecte de données est analysée en amont pour n'inclure que le strict nécessaire.

Conformité continue : Zorrooo se tient informé des évolutions législatives (nouveaux règlements, recommandations CNIL/CEPD) et met à jour sa politique en conséquence. Des audits périodiques (interne ou par un prestataire) évaluent le respect des engagements contractuels et réglementaires.

Relation avec les tiers intervenants : Zorrooo veille à ce que tous ses partenaires (avocats, associations, autorités) respectent les mêmes standards élevés de confidentialité. Les contrats de collaboration stipulent expressément que ces tiers n'utilisent les données que pour l'assistance à la réclamation et qu'ils doivent se conformer au RGPD.

En cas de question ou de réclamation liée à la protection des données, l'utilisateur peut contacter le DPO ou saisir la CNIL. Cette politique complète réunit les garanties légales et les bonnes pratiques techniques pour protéger les données personnelles des utilisateurs, conformément aux exigences françaises et européennes. Toutes les mesures décrites ci-dessus visent à assurer la sécurité et la confidentialité des informations collectées, ainsi qu'à limiter les risques juridiques pour Zorrooo.

Les principes RGPD cités sont extraits des articles 5 et 6 du RGPD[1][4], des directives sur la limitation de la conservation[7], et des obligations de notification des incidents (art. 32, 33, 34 RGPD)[3][15]. Les informations sur les droits des personnes et les transferts hors UE proviennent également du RGPD[12][11]. Ces sources sont conformes aux recommandations de la CNIL.

[1] [2] [4] [5] [6] [9] CHAPITRE II - Principes | CNIL

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2

[3] [15] [16] [17] CHAPITRE IV - Responsable du traitement et sous-traitant | CNIL

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4

[7] Guide pratique : Les durées de conservation

https://www.cnil.fr/sites/default/files/atoms/files/guide_durees_de_conservation.pdf

[8] [10] [12] [13] [14] CHAPITRE III - Droits de la personne concernée | CNIL

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3

[11] Transférer des données hors de l'UE

https://www.cnil.fr/fr/les-outils-de-la-conformite/transferer-des-donnees-